Printable View
xp sp3, думаю по заголовку всё понятно, единственное не понятно, откуда, комп просто висел в сети, фаервол исправно отрабатывает (стоит нод ESS4), никто его не трогал(все божаться, что не трогали), подхожу, такая фигня висит, типа отправьте смс с кодом...посмотрите логи, спасибо :)
кстати, эта зараза удалила мою оперу >_<
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\dciiodrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\afmzedmf.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\fadvwttm.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\afmzedmf.SYS');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Файл сохранён как 091202_165116_quarantine_4b1670d49d4f6.zip
Размер файла 1837
MD5 a76e5c938e07d31593bc93752e7baddc
+логи, проблема осталась
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\fadvwttm.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\fadvwttm.sys');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
в карантине ничего интересного, указанных в скрипте файлов нету :(
логи прикрепил, проблема осталась
Файл сохранён как 091203_000220_virus_4b16d5dc495b2.zip
Размер файла 5328851
MD5 28399e6f7e86b084cf0e7921437d3f77
Воспользуйтесь этим советом [url]http://virusinfo.info/showpost.php?p=523401&postcount=17[/url] по отношению к файлу [B]C:\WINDOWS\system32\drivers\tenoamfo.sys[/B]
ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\tenoamfo.sys)
карантин с использованием прямого чтения - ошибка
попытался найти вручную, не получилось, присылать некого
И это не помогает?
[QUOTE]Включаете AVZGuard, копируете файл в карантин, выключаете AVZGuard[/QUOTE]
файла как факта нету :( попробовал 2 раза
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
файл в карантин же идёт через "добавление карантина из списка?"
Файл ищется так [url]http://virusinfo.info/showthread.php?t=4567[/url]
Если не получится, то попробуйте поискать и скопировать файл с помощью IceSword [url]http://virusinfo.info/showthread.php?t=17228[/url]
Если не удастся, установите драйвер AVZPM в AVZ и повторите логи по правилам.
попробовал напрямую, с масками *tenoamfo.sys tenoamfo*.sys *amfo.sys teno*.sys не нашел, вот логи
[QUOTE='OxoTHuk;524027']попробовал напрямую, с масками *tenoamfo.sys tenoamfo*.sys *amfo.sys teno*.sys[/QUOTE]Не нашли, потому что имя файла драйвера меняется при каждой перезагрузке
Пока надо думать...
хм... как вариант пересечься, допустим в асе, что бы было так сказать в реалтайме:) сейчас возможности запустить машину нету, аккум сел, возможность зарядиться будет около шести, так что если это вариант отпишитесь, пожалуйста :)
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 4 минуты[/I][/B][/color][/size]
готов к контакту) 95898семнадцать
Попробуйте пролечиться с помощью AVP Tool в безопасном режиме
нашел что то в автозапуске, если интересно, вышлю, я его в архив упрятал, запароленный
проблема не исчезла :(
Попробуйте код 6550
не помогло...
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
на заметку, процесс запускается ДО входа в систему, так как если он не вошедшим постоит, то и счётчик начинает показывать не с 5 минут, ну или допустим если выйти из пользователя (совсем) и заново зайти, то счётчик начинает не заново, а как бы не останавливался на мой выход...
в файле boot.ini в конце строки где ОС появилось /NoExecute=OptIn
[B]AVZ[/B]-[B]AVZ Guard[/B]-включить [B]AVZ Guard[/B]
Выполните скрипт в avz
[code]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
вёл 6523 и окно пропало... появился интернет, пропало обновление системы, после ребута опять пропал инет...
Выполняйте мое сообщение (предыдущие).